Globalna kampania na błąd RCE w ServiceNow

Bardziej krytyczne z luk to CVE-2024-4879, CVE-2024-5217, obie o bardzo wysokim wyniku CVSSv4, wynoszącym odpowiednio 9,3 i 9,2. Błędy te umożliwiają niezweryfikowanym zdalnym atakującym wykonywanie dowolnego kodu w ramach platformy Now, co potencjalnie prowadzi do naruszenia bezpieczeństwa, kradzieży danych i zakłócenia działalności biznesowej. Trzecia luka, z wynikiem CVSSv4 wynoszącym 6,9, umożliwia użytkownikom administracyjnym uzyskanie nieautoryzowanego dostępu do poufnych plików na serwerze aplikacji internetowych. Chociaż nie jest tak poważna jak dwie poprzednie, nadal stwarza znaczne ryzyko ujawnienia danych i dostępu do poufnych informacji.

W ostatnim czasie złośliwi aktorzy próbowali wykorzystać sytuację, aby wydobyć dane zarówno z firm z sektora prywatnego, jak i agencji rządowych na całym świecie. Aktywność została w porę powstrzymana przez dostawcę, a w trakcie okresu ujawnienia zidentyfikowano kilka epizodów złośliwej cyberaktywności.

Skala problemu

Trudno to oszacować, ale ServiceNow jest popularną platformą do zarządzania cyfrowymi przepływami pracy w nowoczesnych środowiskach IT. Na przykład na podstawie wyników popularnej wyszukiwarki sieciowej z Chin o nazwie FOFA, istnieje około 300 000 instancji ServiceNow, które potencjalnie można by zdalnie zbadać. Oczywiście instancje mogą mieć różne listy kontroli dostępu lub inne ograniczenia zarówno na poziomie sieci, jak i aplikacji, dlatego można ich używać tylko do przybliżonych szacunków. Potwierdza to jednak szeroką i znaczącą obecność tego rozwiązania w środowiskach na całym świecie. Największa liczba instancji została zidentyfikowana w Stanach Zjednoczonych, Wielkiej Brytanii i Indiach.

Według opublikowanych przez The Stack informacji „trzy krytyczne luki w zabezpieczeniach ServiceNow mogą zostać wykorzystane wspólnie przez nieuwierzytelnionego atakującego w celu pełnego dostępu RCE” – przy czym ponad 40 000 serwerów SNOW było na to podatnych w maju, ale podatności zostały teraz załatane. W wydaniu dodano: „Nie zaobserwowano żadnego wykorzystania w środowisku naturalnym, ale biorąc pod uwagę powagę błędów, ponieważ osoby ze złymi intencjami odwracają łatkę, klienci z własnym hostingiem, którzy nie przyjęli poprawek, mogą spodziewać się kłopotów”.

Taktyki ataku

Gdy tylko ujawniono informacje wywiadowcze dotyczące podatności, wielu hakerów natychmiast rozpoczęło masowe skanowanie w celu zidentyfikowania podatnych instancji ServiceNow. Resecurity ściśle monitorowało kilku aktorów, co pozwoliło zebrać wystarczającą ilość danych na temat ich technik. Katalizatorem wykorzystania było publiczne udostępnienie POC w celu zwiększenia świadomości cyberbezpieczeństwa. Jedną z najczęściej wykorzystywanych luk była CVE-2024-4879, która umożliwia niezweryfikowanemu użytkownikowi zdalne wykonywanie kodu w ramach platformy Now. Podatność wykorzystuje trzy problemy naraz: wstrzykiwanie tytułu, obejście zabezpieczeń wstrzykiwania szablonu i obejście filtru systemu plików, aby uzyskać dostęp do danych ServiceNow.

Drugi etap eksploatacji obejmował wstrzykiwanie ładunku w celu sprawdzenia dostępności i zawartości bazy danych. Można to było zorganizować ręcznie, wysyłając żądanie lub używając dostosowanych szablonów dla popularnych skanerów do automatyzacji, takich jak Nuclei, z niedawno dodanym szablonem dla CVE-2024-5217 w ich repozytorium.

Ostatni etap obejmował kradzież list użytkowników i zbieranie powiązanych metadanych z naruszonych instancji.

Podsumowanie

Na podstawie dalszego monitorowania (w czasie jednego tygodnia, począwszy od daty wydania luki w zabezpieczeniach), wiele organizacji zostało objętych atakiem w różnych regionach geograficznych i pionach rynkowych, w tym:

• korporacja energetyczna,
• organizacja centrów danych,
• agencja rządowa na Bliskim Wschodzie,
• dom programistyczny.

Co warte uwagi, niektórzy z nich nie byli świadomi istnienia wydanej poprawki, a w innych przypadkach programiści czy inżynierzy oprogramowania używali przestarzałych lub źle utrzymywanych instancji. Podkreśla to znaczenie śledzenia najnowszych aktualizacji oprogramowania oraz wdrażania zalecanych poprawek zabezpieczeń i aktualizacji przez zaufanych dostawców IT. Zebrane dane mogą być wykorzystane do szpiegowania i dalszych kierunkowych ataków. Na szczęście szybko wydano poprawkę, co pozwoliło na terminowe powstrzymanie potencjalnych szkód w wielu firmach.